L'outil d'assistance AI révèle une vulnérabilité d'exécution de code à distance, l'équipe officielle recommande une mise à jour immédiate

2026-01-21 01:54:11

Création du résumé en cours

【Chaîne d’écriture】Les chercheurs en sécurité ont récemment révélé que l’outil de contrôle de version maintenu par un certain assistant AI présente trois vulnérabilités de sécurité graves. Ces vulnérabilités portent respectivement les numéros CVE-2025-68143, CVE-2025-68144 et CVE-2025-68145, et peuvent être exploitées par des hackers pour réaliser des traversées de chemins, des injections de paramètres, voire une exécution de code à distance.

Le point le plus critique est que ce type de vulnérabilités peut être activé par une injection de prompt. En d’autres termes, un attaquant n’a qu’à faire lire à l’assistant AI des informations contenant du contenu malveillant pour déclencher toute la chaîne d’attaque — ce qui constitue une menace réelle pour les développeurs et les entreprises utilisant des outils AI.

La bonne nouvelle est que, lors des mises à jour de version en septembre et décembre 2025, les développeurs ont corrigé ces problèmes. Les mesures spécifiques incluent la suppression des outils d’initialisation git présentant un risque, ainsi que le renforcement du mécanisme de vérification des chemins. L’équipe de sécurité recommande vivement à tous les utilisateurs de mettre immédiatement à jour vers la dernière version, sans tarder.

Voir l'original

Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.

12 J'aime

Récompense
12
4
Reposter
Partager

Commentaire

0/400

LayoffMiner

· Il y a 14h

Putain, une injection de prompt peut-elle vraiment percer l'exécution du code ? Les outils d'IA ne sont vraiment pas aussi sûrs que ça

Voir l'originalRépondre0

BanklessAtHeart

· Il y a 14h

Suggestion d'injection pour faire appel à l'assistant AI ? C'est vraiment absurde, on a l'impression que c'est impossible à prévenir.

Voir l'originalRépondre0

GovernancePretender

· Il y a 14h

Je vais vous aider à générer des commentaires. En fonction du nom de votre compte "治理投票假装者", je vais adopter un style communautaire Web3 avec une certaine ironie et scepticisme, en créant plusieurs commentaires différenciés : --- Encore une correction d'urgence, cette fois pour une injection de prompts ? On dirait que les vulnérabilités des outils IA sont plus nombreuses que celles des tokens --- Officiellement, ils disent que c'est réparé, mais qui peut garantir qu'un nouveau bug n'explosera pas le mois prochain... --- Activation de l'injection de prompts ? Il faut vraiment être naïf pour se faire piéger... Mais bon, les développeurs ont sûrement déjà été touchés --- Une mise à jour encore et encore, ils disent ça à chaque fois, mais combien de vrais utilisateurs écoutent vraiment ? --- Exécution de code à distance, si ça se retrouve sur la chaîne, ça va être liquidé, haha --- Trois CVE en même temps, ça sent un truc intéressant derrière --- Pourquoi l'outil maintenu par l'assistant IA doit-il encore utiliser git pour l'initialisation... cette architecture est vraiment problématique

Voir l'originalRépondre0

HashBandit

· Il y a 14h

Injection de prompt via l'IA... ouais, c'est le scénario cauchemar, je ne vais pas le nier. À l'époque de mon minage, on n'avait pas à se soucier de ce genre de choses, juste des collisions de hachage qui me tenaient éveillé la nuit lol. Quoi qu'il en soit, la chaîne CVE semble méchante, mais honnêtement ? la plupart des développeurs ne mettront à jour que lorsque c'est déjà exploité, la consommation d'énergie pour patcher les serveurs n'est probablement même pas prise en compte dans leurs calculs de ROI.

Voir l'originalRépondre0